Регуляция и закон

Вредонос TrapDoor атакует крипторазработчиков через библиотеки

Специалисты Socket обнаружили масштабную атаку TrapDoor на репозитории npm, PyPI и Crates.io, нацеленную на кражу ключей у разработчиков крипто- и ИИ-проектов.

Вредонос TrapDoor атакует крипторазработчиков через библиотеки

Главное об атаке TrapDoor

  • Цель: Разработчики криптовалютных и ИИ-проектов с доступом к продакшену.
  • Метод: Внедрение вредоносного ПО в популярные репозитории кода npm, PyPI и Crates.io.
  • Угроза: Кража приватных ключей, SSH-доступов, учетных данных AWS и GitHub.

Злоумышленники смещают фокус с рядовых пользователей криптовалют на тех, кто создает эти технологии. Специалисты по кибербезопасности из компании Socket обнаружили сложную кампанию под названием TrapDoor. Этот вредонос нацелен непосредственно на рабочие станции разработчиков, где хранятся критически важные данные.

Масштаб угрозы в цифрах:

  • Обнаружено более 34 вредоносных пакетов.
  • Атака затронула 3 крупнейших реестра открытого исходного кода.
  • Сотни связанных версий и артефактов использовались для маскировки.

Как работает цепочка поставок TrapDoor

Вместо использования банального фишинга хакеры применили метод атаки на цепочку поставок (supply-chain attack). Они загрузили вредоносный код в популярные реестры программирования: npm (JavaScript), PyPI (Python) и Crates.io (Rust). Пакеты маскировались под безобидные утилиты для разработки приложений, смарт-контрактов Solidity или интеграции искусственного интеллекта.

Имена вредоносных библиотек были намеренно скучными и техническими, чтобы не вызывать подозрений:

  • wallet-security-checker
  • defi-risk-scanner
  • solidity-build-guard
  • llm-context-compressor

«Злоумышленники поняли, что компрометация одного разработчика дает несоизмеримо больше выгоды, чем фишинг тысяч розничных инвесторов. Получив доступ к рабочей станции программиста, они забирают ключи от всей инфраструктуры проекта», — отмечают эксперты по безопасности.

Новый вектор: манипуляции с ИИ-ассистентами

Одной из наиболее опасных особенностей TrapDoor стало использование файлов конфигурации для ИИ-помощников, таких как .cursorrules и claude.md. Хакеры внедряли в эти файлы скрытые инструкции с помощью невидимых символов Юникода (zero-width Unicode characters).

Когда разработчик использовал ИИ-ассистента для написания кода, скрытые инструкции заставляли ИИ запускать поддельные «проверки безопасности», которые на самом деле собирали конфиденциальные данные и отправляли их на серверы злоумышленников.

Последствия и защита

После установки вредоносные скрипты сканировали жесткие диски на наличие приватных ключей кошельков, паролей, токенов GitHub и учетных данных AWS. С помощью украденных SSH-ключей хакеры пытались проникнуть глубже в корпоративные сети компаний.

Специалисты Socket уже уведомили администрации репозиториев, и опасные пакеты были удалены. Тем не менее, разработчикам рекомендуется провести аудит своих локальных сред и ограничить права доступа на рабочих машинах.

Часто задаваемые вопросы (FAQ)

Что такое вредонос TrapDoor?

Это вредоносное ПО, распространяемое через открытые библиотеки кода, предназначенное для кражи учетных данных и криптографических ключей у разработчиков.

Какие платформы пострадали?

Вредоносные пакеты были обнаружены в реестрах npm, PyPI и Crates.io.

Как защитить свой проект от подобных атак?

Необходимо тщательно проверять импортируемые зависимости, использовать инструменты статического анализа кода и не хранить критически важные ключи доступа в открытом виде на рабочих станциях.

Связанные записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.